SAS-70, или Как доказать клиенту, что <все под контролем>
Гоулд Дэвид
Вы когда-нибудь слышали о SAS-70? Нет? Догадываетесь, что это скорее всего одна из многочисленных аббревиатур бухгалтерского стандарта, пришедшего из-за рубежа? Предполагаете - это что-то совсем далекое от российских реалий, раз Вы об этом никогда не слышали? Между тем стандарт SAS-70 приобретает все большее распространение в России. Из этой статьи вы можете узнать о всех тех преимуществах, которые дает SAS-70. |
Положение по аудиторским стандартам №70 (Statement on Auditing Standards - SAS-70) <Отчет по обработке операций организациями, предоставляющими услуги> было принято Американским институтом сертифицированных бухгалтеров (American Institute of Certified Public Accountants - AICPA) в 1992 г. и является общепринятым и, возможно, наиболее всеобъемлющим руководством по оценке состояния и операционной эффективности структуры систем внутреннего контроля компании. Главная задача отчета SAS-70 состоит в обеспечении третьих заинтересованных сторон информацией в форме отчета и заключения о структуре систем внутреннего контроля компании.
За разработку, внедрение и поддержку эффективной системы контроля ответственность несет руководство организации. Хорошо сконструированная система внутреннего контроля обеспечивает благоприятную среду для проведения операций организацией, удовлетворение действующего законодательства, а также снижение риска материального искажения финансовой информации: управленческой отчетности для внутренних целей и внешней финансовой отчетности.
Работа по подготовке отчета SAS-70 позволит руководству компании получить информацию о существующих системах внутреннего контроля, а сам отчет SAS-70 будет важной составляющей эффективной стратегии, нацеленной на реализацию услуг компании на рынке.
Следует отметить, что SAS-70 является довольно специфическим стандартом: он посвящен тестированию процедур контроля - это и есть его главное отличие от других стандартов, которые в большей степени относятся к процедурам бухгалтерского учета. SАS-70 имеет дело именно с процедурами контроля, ни один из других стандартов не требует такого детального анализа процедур контроля, как в ходе работы по SАS-70.
Однако необходимо иметь в виду, что это - американский стандарт.
В других государствах также есть подобные стандарты, например, в Великобритании соответствующий стандарт называется FRAG-21.
Отчет, составленный в соответствии с SAS-70 (далее - отчет SAS-70), применим к разного рода организациям: трастовым и кастодиальным подразделениям банков и страховых компаний, ипотечным компаниям, депозитариям и организациям, предоставляющим услуги по обработке данных.
В этих организациях SAS-70, как и финансовая отчетность, в некоторых случаях является также часто требуемым документом: клиента интересует состояние процедур контроля над проведением операций, которые представляют собой основную часть деятельности организации.
Отметим лишь самые существенные преимущества, которые дает отчет SAS-70:
Отчет SAS-70 может быть двух типов: 1-го и 2-го уровней. Выполненная работа, сделанные выводы и в конечном итоге вид отчета и заключение, подготовленные аудитором, различаются в зависимости от того, какой отчет выполняется.
Отчет SAS-70 1-го уровня преследует две цели: первую - определить, действительно ли описание политики и процедур компании, представленное руководством, отражает их существенные аспекты достоверно; вторую - выяснить, позволяют ли используемые политика и процедуры организации адекватно решать конкретные ключевые задачи контроля. Следует отметить, что аудитор в этом случае не проверяет операционную эффективность политики и процедур систем внутреннего контроля и не дает заключения о них. Кроме того, отчет SAS-70 1-го уровня подготавливается и отражает положение по состоянию на определенную дату.
Отчет SAS-70 2-го уровня включает в себя все процедуры, проделанные в ходе составления отчета SAS-70 1-го уровня. Кроме того, этот вид проекта позволяет аудитору дать заключение о том, являются ли политика и процедуры, подвергшиеся тестированию, эффективными для обеспечения достаточной, но не абсолютной уверенности в том, что задачи внутреннего контроля выполнены. Кроме этого, в отличие от отчета SAS-70 1-го уровня, отчет 2-го уровня отражает положение в течение определенного отрезка времени.
При реализации проекта по составлению отчета SAS-70 можно выделить три этапа:
Первый - выявление ключевых задач контроля. Руководство организации определяет те ключевые цели контроля, которые, по его мнению, способствуют укреплению структуры систем внутреннего контроля. На практике аудитор может помочь руководству в определении таких задач.
Второй - определение политики и процедур. Руководство определяет, какая политика и процедуры уже внедрены в организацию, предоставляющую услуги, и используются для достижения поставленных целей контроля. На этом этапе аудитор интервьюирует ключевых представителей руководства и знакомится с документами компании, описывающими применяемые политику и процедуры, что позволяет аудитору проанализировать структуру системы внутреннего контроля компании. На практике аудитор может помочь руководству определить, какие направления политики и процедуры обеспечивают выполнение ключевых задач контроля.
Третий - тесты операционной эффективности (только для отчета SAS-70 2-го уровня): аудитор проводит тестирование процедур, указанных руководством, для того чтобы удостовериться, что они выполняются и в достаточной степени обеспечивают выполнение ключевых задач контроля. Характер и объем тестирования варьируются в зависимости от вида тестируемых процедур, типа имеющейся информации, ожидаемой эффективности и действенности тестирования.
Обычно такие тесты включают: